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(54) DatentrSger und Schreib-/Lesegerdt fur einen solchen Datentrgger 

(57) Ein Datentrager (1) mit einer elektronischen 
Schaltung (2) zur Speicherung und Verarbeitung von 
Daten weist einen Informationsstreifen (4) mit optisch 
lesbaren Markierungen (5), ein Pruffeld (6) und ein Echt- ' 
heitsmerkmal (7) auf. Zur Kommunikation mit einem ~- 
Schreib-/Lesegerat kann z.B. eine optische Schnittstelle 
(3) vorgesehen sein. Die Markierungen (5) stellen eine 
digitate Signatur dar. Die PrGfung der Echtheit des 
Datentragers (1) kann erfolgen aufgrund der physikali- 
schen Eigenschaften der Markierungen (5), der inneren 
Datenstruktur der Signatur und/oder dem Nachweis, 
dass eine in der elektronischen Schaltung (2) gespei- 
cherte Prufzahl gleich einer aus der Signatur gemass 
einer vorbestimmten Funktion berechneten Zahl ist. Die 
Signatur kann auch als kryptografischer Schlussel zur 
Verschlusselung und Entschlusselung der zwischen der 
elektronischen Schaltung (2) und dem SchreibTLesege- 
rat auszutauschenden Daten dienen. Das Pruffeld (6) ist 
bei der Benutzung des Datentragers (1) irreversibel ver- 
anderbar. Das Schreib-/Lesegerat enthait einen opti- 
schen Lesekopf zum maschinellen Lesen der 
Markierungen (5) und ist fakultativ uber ein Kommunika- 
tionsnetzwerk mit einer Datenverwaltungsstelle verbun- 
den. 
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Beschreibung 

Die Erfindung betrifft einen Datentrager der im 
Oberbegriff des Anspruchs 1 genannten Art und ein 
Schreib-/Lesegerat der im Oberbegriff des Anspruchs 5 s 
genannten Art. 

Solche Datentrager eignen sich zur bargeldlosen 
Bezahlung von Dienstleistungen aller Art. beispiels- 
weise von in Offentiichen Telefonstationen gefOhrten 
Gesprachen, von Einkflufen, im Restaurant, von Parkge- 10 
buhren, von Busbilletten, etc. Sie eignen sich auch als 
elektronische Ausweise wie Fuhrerscheine, Krankenver- 
sicherungsscheine, Kreditkarten, Bankkarten usw. Da 
sie eine elektronische Schaltung zur Speicherung und 
Verarbeitung von Daten sowie zur Kommunikation mrt is 
einem Schreib-/Lesegerat aufweisen, sind sie auch 
unter Begriffen wie Chipkarte Oder Smartcard, etc. 
bekannt. Einen Uberblick uber VerwendungsmCglichkei- 
ten gibt der Artikel "Der Mikrorechner in der Brieftasche" 
im Heft 20/1993 der Zeitschrift Elektronik. Die Abmes- 20 
sungen solcher Chipkarten entsprechen beispielsweise 
der Norm ISO/IEC 7816. 

Ein Datentrager der im Oberbegriff des Anspruchs 
1 genannten Art ist aus der CH 664 635 bekannt Bei 
diesem Datentrager dienen schwer faischbare beu- 25 
gungsoptische Markierungen als Echtheitsmerkmal, die 
beim Verkehr mit einem SchreibVLesegerat von diesem 
uberpruft werden. Weitere optische Markierungen die- 
nen als Werteinheiten fur grCssere Geldbetrage, wah- 
rend Weinere Restbetrage in einem elektronischen 30 
Speicher abgelegt werden. 

Der Erfindung liegt die Aufgabe zugrunde, einen 
Datentrager und ein zugehCriges Schreib-/Lesegerat mit 
einer verbesserten Sicherheit gegen Faischung, Nach- 
ahmung Oder betrugerischen Gebrauch des Datentra- 35 
gers vorzuschlagen. 

Die genannte Aufgabe wird erfindungsgemass 
geldst durch die Merkmale der Anspruche 1 , 7 und 10. 

Nachfolgend wird ein Ausfuhrungsbeispiel der Erfin- 
dung anhand der Zeichnung naher erlautert. 40 

Es zeigen: Fig. 1 einen Datentrager, 

Fig. 2 einen Schichtverbund mitoptischen 
Markierungen, 

Fig. 3 ein SchreibVLesegerat, 45 

Fig. 4 eine Einrichtung mit einer Daten- 

verwaltungsstelle und 

Rg. 5 einen als Strichcode ausgebildeten 

Informationsstreifen. 

so 

Die Rg. 1 zeigt einen Datentrager 1 mit einer elek- 
tronischen Schaltung 2 zur Speicherung und Verarbei- 
tung von Daten sowie einer optischen Schnittstelle 3 zur 
Kommunikation mit einem Schreib-/Lesegerat. Der 
Datentrager 1 weist weiter einen Informationsstreifen 4 55 
mit optisch lesbaren Markierungen 5, ein PrOffeld 6 und 
ein Echtheitsmerkmal 7 auf. Die elektronische Schaltung 
2 enthait unter anderem verschiedene Speicherbereiche 
8, die sich darin unterscheiden, ob die in ihnen abgeleg- 


ten Informationen (Daten und/oder Programmteile) der 
Aussenwelt zuganglich sind und ob diese Informationen 
veranderbar sind. Einer der Speicherbereiche 8 ist ein 
elektronischer, nichtfluchtiger Informationsspeicher 9, 
dessen Inhalt dem Schreib-/Lesegerat zuganglich ist. 
Der Informationsstreifen 4 mit den Markierungen 5, die 
optische Schnittstelle 3 und das PrOffeld 6 sind entiang 
einer Achse y angeordnet, die parallel zu der Richtung 
ist, in der der Datentrager 1 in das Schreib-/Lesegerat 
einzufuhren ist. Der Datenaustausch zwischen dem 
Datentrager 1 und dem Schreib-/Lesegerat erfolgt Qber 
die optische Schnittstelle 3, wozu diese eine Lichtquelle 
10 wie z.B. eine Leuchtdiode oder eine Laserdiode zum 
Senden von Daten vom Datentrager 1 zum Schreib- 
/Lesegerat und eine lichtempfindliche Zelle 11 wie z.B. 
eine Photodiode. einen Phototransistor, einen Pho- 
tomurtiplier oder eine Solarzelle zum Empfangen der 
vom SchreibVLesegerat abgeschickten Daten aufweist. 
Die optische Schnittstelle 3 kann auch ein LC-Display 
sein, wobei das LC-Display die Intensitat oder Polarisie- 
rung eines vom Schreib/Lesegerat ausgesendeten 
Lichtstrahls moduliert. Die Verwendung einer Solarzelle 
ermOglicht die Speisung des Datentragers 1 durch das 
Schreib-/Lesegerat mit Lichtenergie. Anstelle der opti- 
schen Schnittstelle 3 kann der Datentrager 1 auch ein 
Feld mit elektrischen Kontaktfiachen oder Spulen auf- 
weisen, wobei dann der Datenaustausch auf elektri- 
schem Weg beispielsweise gemass der Norm ISO/IEC 
7816-3 bzw. kontaktios auf induktive Weise beispiels- 
weise gemass den Normen ISO/IEC 10536-2 und/oder 
10536-3 erfolgt. Zur irrternen Steuerung des Datentra- 
gers 1 ist vieffach ein Mikroprozessor eingesetzt 

Das Echtheitsmerkmal 7 ist beispielsweise ein von 
Auge sichtbares KINEGRAM®, ein Hologramm," ein 
Kinofbrm oder sonst ein beliebiges OVD (optically varia- 
ble device), das z.B. direkt in die Oberfiache des Daten- 
tragers 1 eingepragt oder als Laminat aus 
Kunststofffolien, wie es auch zur Kennzeichnung von^ 
Kreditkarten, Passen oder anderen Ausweisen Verwen- 
dung findet, in eine Vertiefung auf der Oberfiache des 
Datentragers 1 aufgeWebt ist Das Echtheitsmerkmal 7 
steitt ein Sicherheitsmerkmal dar, das einem Benutzer 
des Datentragers 1 einen einfachen Authenzititatsnach- 
weis gestattet und ihn davor bewahren kann, einen 
gefaischten Datentrager 1 zu erstehen. 

Die Markierungen 5 sind als mit ihren Berandungen 
nicht aneinanderstossende Felder ausgefuhrt, wobei 
vorzugsweise jedes Feld eine beugungsoptisch wirk- 
same Struktur enthait Eine geeignete beugungsoptisch 
wirksame Struktur ist z.B. ein Reliefmuster, das direkt in 
die Oberfiache des Datentragers 1 eingepragt oder 
gemass der europaischen Paterrtanmeldung EP 
401 '466 A1 in ein Laminat aus Kunststofffolien eingebet- 
tet ist, wobei das Laminat gegebenenfalls bOndig mit der 
Oberfiache des Datentragers 1 mit dem Datentrager 1 
verliebt ist. Eine Obersicht uber die fOr die Herstellung 
geeigneten Materialien enthait die US-Patentschrift 
4'856'857. Derartige Diffraktionsstrukturen zeichnen 
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sich aus durch eine hohe Sicherheit gegen Faischung 
oder Kopierung. 

Die Fig. 2 zeigt im Querschnitt einen Schichtverbund 
12 mitdreieck- (B) und sagezahnfCrmigen (A, C) Relief- 
strukturen 13. Der Schichtverbund 12 besteht aus einer 
thermoplastischen Lackschicht 14. die mit einer Reflexi- 
onsschicht 1 5 und einer Webeschicht 1 6 bedeckt ist Auf 
die der Reflexionsschicht 15 gegenuberliegende Seite 
der Webeschicht 16 ist eine Tragerfolie 1 7 auf gebracht 
Die Reliefstrukturen 13 stellen phasenbeugende Gitter 
dar, deren Beugungswirkung durch die Parameter Lini- 
enabstand, Prof i! und Azimut bestimmt sind. Durch Pra- 
gen in die Lackschicht 14 werden die Markierungen 5 
(Rg. 1) erzeugt. Ein Gitter mit einem asymmetrischen 
Profil beugt unterschiedlich viel Ucht in die positiven wie 
in die negativen Beugungsordnungen, wobei bei einem 
sagezahnfflrmigen Profil das Verhaitnis der Intensitaten 
der plus ersten zur minus ersten Beugungsordnung bei- 
spielsweise 8:1 betragen kann. Die Verbindung des 
Schichtverbundes 12 mit der Oberfiache des Daterrtra- 
gers 1 (Rg. 1) erfolgt mittels eines Transferprozesses, 
wobei auch die Tragerfolie 1 7 entf ernt und eine die ganze 
Oberfiache des Datentragers 1 bedeckende Deck- 
schicht aufgebracht wird. Die Deckschicht ist ein ther- 
misch stabiler, bedruckbarer und vorteilhaft UV- 
hartbarer Lack, dessen Erweichungspunkt etwa 20°C 
hOher liegt als der Erweichungspunkt der Lackschicht 
14. Damit wird erreicht, dass das Beugungsverhalten 
einzelner Markierungen 5 durch Zufuhr thermischer 
Energie mittels eines sogenannten LOschkopfes, wie er 
beispielsweise in der Schweizer Patentschrift CH 
640*075 beschrieben ist. veranderbar ist, ohne dass die 
dem LOschkopf zugewandte Seite des Datentragers 1 
zum VerWeben mit dem LOschkopf neigt. Die Schweizer 
Patentschrift CH 604*1 46 beschreibt. wie sich unter loka- 
ler Warmeeinwirkung ein in eine Kunststoffoberfiache 
eingepragtes, optisch wirksames Reliefmuster an der 
erwarmten Stelle so verandert, dass sich wieder die 
Struktur ausbildet die die Kunststoffoberfiache vor dem 
Pragen auswies. Ein Datentrager 1 mit aus nach dem 
Pragen identischen Markierungen 5 ist durch das Veran- 
dern einzelner Markierungen 5 individualisierbar. Eine 
weitere MOglichkeit zur einfachen Individualisierung 
besteht in der Verwendung eines gefuhrten Laserstrah- 
les wie es die US Patentschrift S'331'443 lehrt. 

Die Rg. 3 zeigt ein SchreifcWLesegerat 19 t das 
sowohl zum maschinellen Lesen der Markierungen 5 als 
auch zum Datenaustausch mit der optischen Schnitt- 
stelle 3 des Datentragers 1 geeignet ist. Das Schreib- 
/Lesegerat 19 enthait einen Lesekopf 20 mit einer Licht- 
quelle 21 und wenigstens zwei Photodetektoren 22, die 
elektrisch mit einer Steuer- und Auswerteeinheit 23 ver- 
bunden sind, sowie nicht gezeichnete optische Abbil- 
dungselemente zur optimalen Fuhrung der 
Lichtstrahlen. Fakultativ enthait das Schreib-ZLesegerat. 
19 eine Einrichtung 24 zum maschinellen Transport des 
Datentragers 1. Die Lichtquelle 21 gibt. sofern einge- 
schaltet. einen gerichteten, vorzugsweise annahernd 
monochromatischen Lichtstrahl 25 ab. Zwei Photodetek- 


toren 22 sind so angeordnet dass sie einerseits die 
Intensitaten der Teilstrahien 26, 27 der minus ersten bzw. 
plus ersten Beugungsordnung mess en kOnnen, solange 
der Lichtstrahl 25 auf eine der Markierungen 5 failt und 
5 dort gebeugt wird, und dass wenigstens einer der beiden 
Photodetektoren 22 das von der Lichtquelle 10 der opti- 
schen Schnittstelle 3 des Datentragers 1 abgegebene 
Ucht detektieren kann, sobald der Datentrager 1 voll- 
standig in das Schreib-/Lesegerat 19 eingefuhrt ist. Vor- 
70 zugsweise failt der Lichtstrahl 25 unter einem Winkel a 
schrag auf die durch die Oberfiache des Datentragers 1 
definierte Ebene, wobei der Winkel a derart bestimmt ist, 
dass der Teilstrahl 26 der minus ersten Beugungsord- 
nung in annahernd senkrechter Richtung zuruckgebeugt 
is wird. Damit der Lesekopf 20 als gerateseitige optische 
Schnittstelle verwendbar ist zum Datenaustausch mit 
der optischen Schnittstelle 3 des Datentragers 1 , gibt die 
Lichtquelle 21 bei schrager Richtung des Lichtstrahles 
25 bevorzugt einen zweiten, annahernd senkrechten 
20 Lichtstrahl 28 ab. der auf die lichtempfindliche Zelle 1 1 
des Datentragers 1 failt. wenn der Datentrager 1 bis zu 
seiner Endposition in das SchreibVLesegerat 19 einge- 
fuhrt ist Gleichzeitig befindet sich dann einer der Pho- 
todetektoren 22 senkrecht uber der Lichtquelle 10 des 
25 Datentragers 1. 

Der Informationsstreifen 4 mit den Markierungen 5 
und die optische Schnittstelle 3 des Datentragers 1 sind 
entlang der Achse y (Rg. 1) so angeordnet, dass sich 
die Markierungen 5 beim manuellen Einfuhren oder 
30 beim maschinellen Einzug des Datentragers 1 in das 
Schreib-/Lesegerat 19 hinein am Lesekopf 20 vorbeibe- 
wegen. Beim EinfOhren bzw. Einzug des Datentragers 1 
wird die Lichtquelle 21 eingeschaltet und die Steuer- und 
Auswerteeinheit 23 uberpruft, ob die Intensitaten der auf 
35 die Photodetektoren 22 gebeugten Teilstrahien 26. 27 
vorbestimmten Kriterien genugen. Falls die optischen 
Markierungen 5 beispielsweise, wie in der Fig. 2 darge- 
stellt, ein sagezahnfdrmiges Reliefprofil mit vorbestimm- 
ten Gitterabmessungen sind, prOft die Steuer- und 
40 Auswerteeinheit 23 bei jeder solchen Markierung 5, ob 
das Verhaitnis des vom ersten Photodetektor 22 abge- 
gebenen Signales um einen durch die Eigenschaften 
des Reliefprofils vorbestimmten Faktor grosser als das 
vom zweiten Photodetektor 22 abgegebene Signal ist. 
45 Sofern die Markierungen 5 als berandete Felder ausge- 
bildet sind, die durch einen Zwischenraum mit anderen 
optischen Eigenschaften getrennt sind, erlauben die von 
den Photodetektoren 22 abgegebenen Signale auch auf 
einfache Weise die Bestimmung der Zahl der Markierun- 
so gen 5. die auf dem Datentrager 1 vorhanden ist. Die 
Steuer- und Auswerteeinheit 23 pruft, ob diese Zahl 
gleich einer vorgegebenen Zahl ist. Dieser hauptsach- 
lich auf physikalischen Eigenschaften beruhende Test 
ermfiglicht mit hoher Sicherheit den Nachweis der Echt- 
55 heit des Datentragers 1 . Bei diesen als berandete Felder 
ausgefuhrten Markierungen 5 ist eine getrennte Takts- 
pur nicht erforderlich. Gleichwohl kOnnen eine geson- 
derte Taktspur und ein weiterer Photodetektor zum 
Lesen der Taktspur vorgesehen sein. 
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Fur die Markierungen 5 kOnnen auch mehrere Beu- 
gungsgitter mit verschiedenen Reliefprofilen verwendet 
werden, die bevorzugt alle die gleiche Gitterkonstante 
und die gleiche Gitterorientierung aufweisen, so dass sie 
mit zwei Photodetektoren 22 erkennbar und unter- 5 
scheidbar sind. In diesem Fall pruft die Steuer- und Aus- 
werteeinheit 23 anhand analoger Kriterien wie oben, ob 
und gegebenenfalls welchem Beugungsgrttertyp das 
von einer Markieaing 5 gebeugte und deteklierte Licht 
zugeordnet werden kann. Es ist z.B. mOglich, die drei in 10 
der Rg. 2 gezeigten verschiedenen Beugungsgitter A f B 
und C vorzusehen, die sich in ihrer Symmetrie bezuglich 
der Achse y unterscheiden. Die Anordnung von bei- 
spielsweise 21 Beugungsgittern in der Reihenfolge A, B, 
C im Informationsstreifen 4 erzeugt somit eine innere 15 
Strukturder Gesamtheitder Markierungen 5, welche von 
der Steuer- und Auswerteeinheit 23 uberprGfbar ist. Die 
Schwierigkeit, einen Datentrager 1 mit optischen Mar- 
kierungen 5 zu faischen, nimmt zu mit der Komplexitat 
der die Markierungen 5 darstellenden Beugungsstruktu- 20 
ren und auch mit der Anzahl Photodetektoren 22, die 
zum Detektieren des Typs einer Markierung 5 im 
Schreib-/Lesegerat 19 eingesetzt sind. 

Jede Markierung 5 stellt je nach der Komplexitat der 
sie bildenden Diffraktionsstruktur ein Bit oder auch ein 25 
hOherwertiges Zeichen dar und kann zudem Takt- oder 
Clockinformationen enthalten. Ein hOherwertiges Zei- 
chen wird im folgenden als durch eine Bitfblge darstellbar 
angesehen. Die Gesamtheit der Markierungen 5 stellt 
somit ein Bitmuster dar, das maschinell lesbar ist Weist 30 
der Informationsstreifen 4 beispielsweise n Markierun- 
gen 5 auf, die je ein Bit. d.h. ein binares Zeichen darstel- 
len, dann liest das SchreibVLesegerat 19 beim Einzug 
des Datentragers 1 ein Bitmuster "b 1t bs. b3 ... b n ". Einige 
dieser Bits b 1t b 2( b3 bis b n stellen nun mit Vorteil Prufbits 35 
dar, so dass das Schreib-/Lesegerat 19 zusatzlich zur 
oben beschriebenen physikalischen Pruf ung anhand der 
Prufbits eine Prufung durchfuhren kann, ob das gele- 
sene Bitmuster "b 1( b^ b3 ... b n " eine innere Bitstruktur 
aufweist, die vorbestimmten Regeln genOgt Dies 40 
ermflglicht eine zuveriassige Unterscheidung, ob es ein 
reguiares Bitmuster oder ein gefaischtes Bitmuster ist. 
Zur Behebung von vereinzelten Lesefehlern kdnnen wei- 
ter einige der Bits b 1f b^ b 3 bis b n als redundante Bits 
zur Fehlererkennung vorgesehen sein. 45 

Ein Bitmuster kann allgemein als digitale Signatur S 
bezeichnet werden. Die digitale Signatur S muss nicht 
notwendigerweise gleich dem gelesenen Bitmuster "bi, 
b 2 , b3 ... b n " sein. Es ist auch m6glich, dass das Schreib- 
/Lesegerat 19 mittels eines vorbestimmten Algorithmus so 
aus dem gelesenen Bitmuster "b^ b 2l b 3 ... b n " durch 
Operationen aller Art ein neues Bitmuster aus k Bits "c 1( 
c 2 , c 3 ... Ck" ableitet, welches als digitale Signatur S dient. 
Die Zahl k kann Kleiner, gleich oder grosser als die Zahl 
n sein. Die digitale Signatur S kann zudem Informationen 55 
enthalten, z.B. ein Ablaufdatum des Datentragers 1, so 
dass das Schreib-/Lesegerat 19 keineTransaktionen mit 
dem Datentrager 1 durchfuhrt, wenn dessen zertliche 
GOItigkeit abgelaufen ist. 


Die Verwendung eines Informationsstreifens 4 mit 
optischen Markierungen 5, die mit Kbpiergeraten nicht 
kopierbar, ausserst schwer faischbar und praktisch 
untrennbar mit dem Datentrager 1 verbunden sind, 
erschwert bereits das unberechtigte Inverkehrbringen 
solcher Datentrager 1. Die BetrugsmOglichkeiten sind 
zudem reduziert. wenn das Schreib-/Lesegerat 19 eine 
Echtheitsprufung aufgrund der physikalischen Eigen- 
schaften der Markierungen 5 allein durchfuhrt und pruft. 
ob die innere Datenstruktur der Signatur S vorbestimm- 
ten Regeln genugt Beispiele fOr eine innere Datenstruk- 
tur der Signatur S sind die vorerwahnte Verwendung 
unterschiedlicher Beugungsgitter. die in einer bestimm- 
ten Reihenfolge angeordnet sind, oder die Verwendung 
von PrGfbits, die nach vorbestimmten Regeln berechnet 
sind. 

Durch eine Verknupfung der Signatur S mit im 
Datentrager 1 gespeicherten Daten kann die Sicherheit 
gegen Faischungen weiter erhOht werden. Beispiele sol- 
cher Verknupfungen werden nun naher eriautert 

Bei einer ersten Art der VerknGpfung ist im Informa- 
tionsspeicher 9 (Rg. 1) eine Prufzahl P gespeichert, die 
allein als eine Funktion f der Signatur S: P = f(S) oder 
als eine Funktion g der Signatur S und weiterer im Daten- 
trager 1 gespeicherter Daten Dp: P = g(S. Dp) berech- 
net ist Beim sogenannterr SLE4436 Eurochip aus der 
Chipserie SLE443x von Siemens oderdazu kompatiblen 
Chips kann z.B. die 16 Bit grosse "Aux. Data Area" zur 
Speicherung der Prufzahl P verwendet werden. Beim 
Gebrauch des Datentragers 1 pruft das Schreib-/Lese- 
gerat 19 deren Echtheit. indem es die Signatur S ermit- 
telt, vom Datentrager 1 die Prufzahl P und, 
gegebenenfalls, die Daten Dp anfbrdert, den Funktions- 
wert P f = f(S) bzw. P g = g(S, Dp) berechnet und die 
Zahlen P und P f bzw. P und P g auf Gleichheit OberprQft. 
Die Ubermittlung der Prufzahl P und der Daten Dp erfolgt 
dabei mit Vorteil verschlusselt 

Eine noch hOhere Sicherheit gegen Betrugsversu- 
che ist erreichbar, indem das SchreibVLesegerat 19 bei 
jeder Datenubermittlung eine Zufallszahl nach an sich 
bekannten Methoden. z.B. dem DES (Data Encryption 
Standard), verschlusselt und in verschlusselter und 
unverschlusselter Form an den Datentrager 1 mitschickt 
Die elektronische Schaltung 2 des Datentragers 1 ist ein- 
gerichtet. die verschlusselt ubermittelte Zufallszahl zu 
entschlGsseln und mit der unverschlusselt ubermittelten 
Zufallszahl zu vergleichen. Eine Ubertragung der PrGf- 
zahl P und/oderanderer Daten Dp an das Schreib-/Lese- 
gerat 19 erfolgt nur, falls die entschlusselte Zufallszahl 
gleich der unverschlusselten Zufallszahl ist Die Abfrage 
des Datentragers 1 durch ein dazu nicht berechtigtes 
Schreib-/Lesegerat 19 ist durch diesen einfachen 
Autherrtizitatstest ausgeschlossen. 

Eine weitere MOglichkeit, eine hohe Sicherheit 
gegen Betrugsversuche zu erreichen, besteht darin. 
dassdas SchreibVLesegerat 1 9 alle an die elektronische 
Schaltung 2 des Datentragers 1 zu ubermittelnden 
Befehle und/oder Daten als eine Zeichenfolge Z1 auf- 
fasst. diese Zeichenfolge Z1 mit einem Verschlusse- 
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lungsalgorrthmus verschlusselt, wobei die Signatur S als 
ChiffrierschlOssel dierrt. und an den Datentrager 1 uber- 
mittelt Mittels des komplementaren Dechiffrierschlus- 
sels, der in einem der Aussenwelt nicht zuganglichen 
Speicherbereich 8 gespeichert ist entschlOsseft die 
elektronische Schaltung 2 des Datentragers 1 die emp- 
fangenen Daten in die Zeichenfolge Z2. Bei einer Ver- 
schlusselung der Befehle und/oder Daten mit einem 
faJschen Schlussel, ist die Zeichenfolge Z2 nicht ver- 
standlich, so dass der Datentrager 1 weder eine Antwort 
an das SchreibVLesegerat 19 sendet noch eine Ande- 
rung in einem seiner Speicherbereiche 8 zuiasst. Der 
Datenaustausch vom Datentrager. 1 an das 
Schreib/Lesegerat 19 ist auf die gleiche Weise schQtz- 
bar, indem die elektronische SchaJtung 2 die zu ubermit- 
telnden Daten mit einem der Signatur S 
komplementaren ChiffrierschlOssel verschlusselt Die 
ubermittelten Daten sind vom Schreib/Lesegerat 19 nur 
irrterpretierbar, wenn die Entschlusselung mittels des 
durch die Signatur S dargestellten Dechiffrierschlussels 
korrekt erfolgte. 

Durch den Einsatz eines derartigen Verfahrens ist 
es mOglich, das Risiko des betrugerischen Aufladens 
eines wiederaufladbaren Datentragers 1, z.B. einer Tax- 
karte zur Bezahlung von Telefongebuhren, Oder das 
Risiko des unberechtigten Beschreibens eines dazu vor- 
gesehenen Datentragers 1, z.B. einer Krankenversiche- 
rungskarte, ausserst Wein zu halten. 

Bei dieser zweiten Art der Verknupfung dient die 
Signatur S also als kryptograf ischer Schlussel zum Ver- 
schlQsseln und Entschlusseln der mit der elektronischen 
Schattung 2 des Datentragers 1 auszutauschenden 
Daten, wobei der zur Signatur S komplementare Schlus- 
sel in einem der Aussenwelt nicht zuganglichen Spei- 
cherbereich 8 des Datentragers 1 gespeichert ist. Die 
Signatur S stellt einen Schlussel dar, der einerseits 
einem "public key" ahnlich ist in dem Sinne, dass das 
Schreib-ZLesegerat 19 den Schlussel, den es zum 
Datenaustausch mit dem Datentrager 1 benetigt vom 
Datentrager 1 mittels des Lesekopfes 20 abliest. Ande- 
rerseits ist die Signatur S ahnlich einem "secret key", 
indem die Signatur S nur dem Schreib-ZLesegerat 1 9 
bekannt und einer Person oder einer anderen Maschine 
kaum Oder nur sehr schwer zuganglich ist. Die Aus- 
drucke "public key" und "secret key" sind im Artikel 
"Datenverschlusselung in der Chipkarte" im Heft 
22/1994 der Zeitschrrft Elektronik naher beschrieben. 
Jeder Datentrager 1 weist dabei mit Vorteil eine eigene, 
individuelle Signatur S auf, wodurch das Risiko der 
missbrauchlichen Verwendung solcher Datentrager 1 
weiter gesenkt werden kann. 

Jedem Datentrager 1 istferner ein sogenannter PIN- 
Code (Personal Identification Number) zugeordnet. der 
nur dem Besitzer des Datentragers 1 bekannt sein sollte 
und der dazu dient. Transaktionen zwischen dem Daten- 55 
trager 1 und dem SchreibVLesegerat 19 nur dann zu 
ermOglichen, wenn der Benutzer den PIN-Code richtig 
eingibt. Der PIN-Code dient also dem Nachweis der 
berechtigten Benutzung des Datentragers 1 . Die Uber- 


prufung des PIN-Codes kann erfblgen, indem das 
SchreibVLesegerat 19 den vom Benutzer eingegebenen 
PIN-Code entweder gemass einer vorbestimmten Funk- 
tion mit der Signatur S verknQpft oder mittels der Signa- 
s tur S verschlusselt und an den Datentrager 1 ubertragt, 
worauf der Datentrager 1 die ubertragenen Daten ent- 
weder direkt oder nach Entschlusselung mit einem 
gespeicherten Soll-PIN-Code vergleicht und die Ant- 
wort, ob der PIN-Code richtig eingegeben wurde, eben- 
10 falls in verschlusselter Form zurucksendet Es ist auch 
mOglich. dass der Datentrager 1 keine Daten an das 
SchreibVLesegerat 19 ubertragt wenn der Vergleich 
zwischen dem PIN-Code und dem Soll-PIN-Code nega- 
trv ausfaJIt 

is Die Markierungen 5 (Rg. 1) im Informationsfeld 4 
kflnnen auch in einer zweidimensionalen Matrix ange- 
ordnet sein. Die Markierungen 5 kOnnen weiter als ROM 
Speicher oder, falls die die Markierungen 5 darstellen- 
den Reliefstrukturen 13 einmal irreversibel veranderbar 
20 sind, als WORM (write once read many times) Speicher 
dienen. Im letzteren Fall ist es mOglich, dass jede Mar- 
Werung 5 des WORM Speichers bei der Auslieferung des 
Datentragers 1 einen vorbestimmten Kredrtbetrag dar- 
stellt. Bei jeder Benutzung des Datentragers 1 , die zu 
einer Verminderung des Kreditbetrages fuhrt, wird der 
neue, verminderte Kredrtbetrag in den WORM Speicher 
eingeschrieben. Bei einem anderen Verfahren stellt jede 
Markierung 5 einen vorbestimmten Geldwert G dar. Der 
gesamte Kreditwert des Datentragers 1 ergibt sich aus 
der Zahl der unveranderten Markierungen 5 mal diesen 
Geldwert G plus einem Restwert R, der im Speicher 8 
abgelegt ist. Der Restwert R ist immer Weiner als der 
Geldwert G und stellt somit Weinere Einheiten als der 
Geldwert G dar. Bei der Abbuchung wird einerseits der 
neue Restwert R in den Speicher 8 eingeschrieben und - 
andererseits gegebenenfalfs die nOtige Anzahl Markie- 
rungen 5 irreversibel verandert Der WORM Speicher 
kann auch zur Speicherung anderer Daten als Geldwer- 
ten dienen. Da die Markierungen 5 Abmessungen haben 
kfinnen, die nur einige Mikrometer betragen, 1st eine 
hohe Speicherdichte mOglich. 

Bei einer Weiterbildung der Erfindung ist auf dem 
Datentrager 1 das PruffekJ 6 vorgesehen, das vom 
SchreibVLesegerat 19 mit einem dazu vorgesehenen 
Mittel irreversibel veranderbar ist, so dass der Gebrauch 
des Datentragers 1, insbesondere der erstmalige 
Gebrauch, nachweisbar ist auch wenn der Datentrager 
1 mechanisch und/oder elektrisch so beschadigt ist, 
dass die im Datentrager 1 gespeicherten Daten nicht 
mehr gelesen werden kOnnen. Die irreversible Verande- 
rung des Pruffeldes 6 kann mit verschiedenen einfachen 
Technologien realisiert werden. Beispielsweise kann die 
Deckschicht des Datentragers 1 einen. Farbstoff enthal- 
ten, der bei Bestrahlung mit einer geeigneten Lichtquelle 
seine Farbe aufgrund einer photochemischen oder ther- 
mischen Reaktion fur das menschliche Auge oder fur 
einen IR- oder UV-Detektor verandert. Das Pruffeld 6 
kann auch ahnlich einer Markierung 5 als Feld mit einer 
Beugnngsstruktur ausgebildet sein, wobei die Beu- 
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gungsstaiktur durch Zufuhr von Warme irreversibel so 
veranderbar ist, dass sie beispielsweise einfailendes 
Ucht diffus nach alien Richtungen streut und somit matt 
erscheint Eine besonders einfache Ausfuhrung ergibt 
sich bei einem Schreib-ZLesegerat 19 mit einer Trans- 5 
porteinrichtung 24, wenn afs Uchtquelle 21 eine Leucht- 
diode Oder Laserdiode vorhanden ist, die zur 
irreversiblen Veranderung des Pruffeldes 6 kurzzeitig in 
einen Hochleistungsmodus schaltbar ist. Dabei steuert 
die Steuer- und Auswerteeinheit 23 die Transporteinrich- 10 
tung 24 und die Lichtquelle 21 so, dass der Datentrager 
1 beim Einzug Oder bei der Ausgabe gestoppt wird, wenn 
sich das Prbffeld 6 im Brennpunkt der Lichtquelle 21 
befindet. und dass dann die Lichtquelle 21 eine genu- 
gend hohe Uchtleistung zur Erzielung der gewunschten 75 
Veranderung des Pruffeldes 6 abgibt. Bei einem 
Schreib-/Lesegerat 19 mit manuellem Einfuhren des 
Datentragers 1 kann eine gesonderte Lichtquelle vorge- 
sehen sein, in welchem Fall das Pruffeld 6 irgendwo auf 
dem Datentrager 1 plaziert sein kann. Auch unterliegt 20 
dann der Zeitpunkt der irreversiblen Veranderung des 
Pruffeldes 6 keinen Beschrankungen und kann beliebig 
gewahlt werden, solange der Datentrager 1 in das 
Schreib-/Lesegerat 19 eingefuhrt ist, z.B. bei der Ein- 
gabedes PIN-Codes oder vor einer im Irrformationsspei- 2 s 
cher 4 des Datentragers 1 vorzunehmenden Anderung. 
Ein bevorzugter Zeitpunkt zum Verandern des Pruffeldes 
6 bei einem in einer Telefonstation eingesetzten Schreib- 
ZLesegerat 19 ist der Zeitpunkt, wenn die Telefbnverbin- 
dung zustande gekommen ist. Anstelle einer Lichtquelle 30 
zur optischen Veranderung des Pruffeldes 6 kann auch 
ein Mittel zur mechanischen Veranderung, z.B. ein gege- 
benenfails heizbarer Stempel oder Stanzwerkzeug vor- 
gesehen sein. 

Ein besonders hoher Schutz gegen Nachahmung 35 
ergibt sich, wenn die Deckschicht im Bereich der Mar- 
kierungen 5 so bedruckt ist, dass die Markierungen 5 fur 
einen menschlichen Betrachter nicht erkennbar sind, 
ohne dass die Maschinenlesbarkett der Markierungen 5 
beeintrachtigt ist. Eine weitere MCglichkeit, fur das 40 
menschliche Auge nicht erkennbare Markierungen 5 
herzustellen, besteht darin, beim in der Fig. 2 gezeigten 
Schichtverbund 12 die Reflexionsschicht 15 wegzulas- 
sen und fur die Lackschicht 14 und die Webeschicht 16 
Materialien zu verwenden, die im sichtibaren Bereich 45 
unterschiedliche optische Brechungsindices mit Werten 
von etwa 1 .5 aufweisen, wobei sich die Brechungsin- 
dices jedoch um weniger als etwa 0.2 unterscheiden. 
Der Unterschied in den Brechungsindices kann jedoch 
im IR oder UV-Bereich deutlich grosser sein, so dass die so 
maschinelle Lesbarkeit der Markierungen 5 sicher gege- 
ben ist. Ein solcher Schichtverbund 1 2 kann dann fur das 
menschliche Auge glasWar oder farbig durchsichtig oder 
auch undurchsichtig erscheinen. 

Der Informationsstreifen 4 (Fig. 1) und das Echt- 55 
heitsmerkmal 7 sind mit der gleichen Technologie als 
Schichtverbund 1 2 herstellbar, wobei der guten Sichtbar- 
kert wegen die Reflexionsschicht 15 bevorzugt wenig- 


stens im Bereich des Echtheitsmerkmals 7 vorhanden 
ist 

Die Fig. 4 zeigt eine Einrichtung, die eine Datenver- 
waltungseinrichtung 29 und mehrere Terminals 30 mit je 
einem SchreitWLesegerat 19 zur Kommunikation mit 
Datentragern 1 umfasst die einen Informationsstreifen 
4 mit optischen Markierungen 5 (Fig. 1) aufweisen, 
wobei die Markierungen 5 eine maschinell fesbare, digi- 
tale Signatur enthalten. Die Datenverwaitungseinrich- 
tung 29 und die Terminals 30 sind durch ein 
Kommunikationsnetzwerk31 verbunden. Die Terminals 
30 kOnnen unterschiedliche Funktionen erfullen, ein Ter- 
minal 30 kann z.B. eine Offentiiche Telefonstation sein, 
das eine gewunschte Telefonverbindung aufbaut falls 
die Telefonstation vom Datentrager 1 entweder den ent- 
sprechenden Geldwert abbuchen kann oder eine Kredit- 
limite und eine Adresse erhalt, wo der Betreiber des 
Telefonnetzes die anfallenden TelefongebQhren einfor- 
dern kann. Ein anderes Terminal 30 kann zur Zutritts- 
kontrolle in ein bestimmtes Gebiet eingesetzt sein. Das 
Schreib-/Lesegerat 19 ist mit einem optischen Lesekopf 
(20) (Fig. 3) zum Auslesen der Signatur des Datentra- 
gers 1 eingerichtet und es ist vorgesehen, dass das 
Schreib-/Lesegerat 19 bei der Benutzung eines Daten- 
tragers 1 dessen Signatur liest und an die Datenverwal- 
tungseinrichtung 29 Gbermrttelt. Auf diese Weise ist der 
Gebrauch des Datentragers 1 Ortiich und zeitlich verfolg- 
bar. Bei Bedarf kann jeder Datenverkehr zwischen 
einem der Terminals 30 und einem Datentrager 1 aufge- 
zeichnet werden. Dabei ist insbesondere der Fail inter- 
essant, dass bei Datentragern 1 , die als elektronische 
GeldbOrse dienen, jeder Geldbezug und jede Gefdein- 
zahlung (Wiederaufladen mit Geld) zusammen mit der 
Signatur, jedoch ohne im Datentrager 1 gespeicherte 
Informationen uber die Identitat des Inhabers, gespei- 
chert werden kann. Dies ermOglicht eine Kontrolle jedes 
Datentragers 1 darQber, ob nicht mehr Geld von der 
GeldbOrse bezogen wird als rechtmassig eingezahlt 
wurde. Notfalls kann die Sperrung des Datentragers 1 
verfugt werden, ohne dass dem Betreiber der Datenver- 
waltungseinrichtung 29 die (dentitat des rechtmassigen 
Besitzers bekannt sein muss. Die Sperrung kann auch 
selektiv nur fur bestimmte Dienste erfolgen. Die Daten- 
verwaltungseinrichtung 29 kann zentral oder dezentral 
aufgebaut sein und mit weiteren DatenverwaJtungsein- 
richtungen wie z.B. Kreditkartenorganisationen, Ban- 
ken, Datenbanken, etc. verbunden sein. 

Die vorgestellte Erfindung beinhaltet mehrere Rea- 
lisierungsmOglichkeiten, die die Sicherheit eines Daten- 
tragers gemass dem Oberbegriff des Anspruchs 1, wie 
dargelegt, Stufe um Stufe erhOhen. Die Verwendung der 
optischen Schnittstelle 3 anstelle elektrischer Kbntakte 
oder Spulen liefert auch einen Beitrag zur Betrugssicher- 
heit, da der Datenverkehr zwischen dem Datentrager 1 
und dem SchreibVLesegerat 19 externen Messgeraten 
kaum mehr zuganglich ist. Ferner ist die optische 
Schnittstelle 3 mit Weinem elektronischem Schaltungs- 
aufwand betreibbar. 
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Es gibt viele wertere MOglichkeiten, einen Informati- 
onsstreifen 4 (Rg. 1) mit optischen maschinenlesbaren 
Marki erun gen 5 zu realisieren, die einen betrachtlichen 
Aufwand und Know How erfordern. Die Markierungen 5 
kOnnen auch aus fiuoreszierender Tinte bestehen und. 5 
wie in der Rg. 5 gezeigt einen Strichcode darstellen, 
wobei ein langer bzw. kurzer Abstand zwischen den Mar- 
kierungen 5 ais Bit H (T bzw. Bit "1 " interpretierbar ist. Der 4. 
Nachweis der Echtheit beruht auf den physikalischen 
Ruoreszenzeigenschaften der Tinte. Ein dazu geeigne- w 
tes Schreib-/Lesegerat 19 bestrahlt beim Einzug des 
Datentragers .1 jede Marki erung 5 mit einem Uchtimpuls 
geeigneter Wellenlange und bestimmt anschfiessend 
die Zeitkonstante des Nachleuchtens der f luoreszieren- 
den Tinte, wobei die Zeitkonstante als Echtheitsmerkmal 15 
dient. 

Die elektronische Schaltung 2 ist oftmals ein vorge- 
fertigtes Modul. Die optischen Markierungen 5 (Rg. 1) 
kOnnen auf dem Datentrager 1 oder auf diesem Modul 
Oder auf einem elektronischen Bauteil wiez.B. dem Infor- 20 5. 
mationsspeicher 4 oder dem Mikroprozessor in der elek- 
tronischen Schaltung 2 angebracht oder eingeformt 
sein. Dabei eignen sich zur Aufnahme der Markierungen 
5 wie oben beschrieben besonders Laminate aus Kunst- 
stoffolien, die mit einem Heissstempelverfahren oder mit 25 
einem bei Zimmertemperatur aktivierbaren Kleber auf- 
gebracht werden kOnnen. Es ist auch denkbar, ein Beu- 
gungsgitter in die Siliziumoberflache eines 
Speicherchips oder des Mikroprozessors entweder mit 6. 
aus der Mikromechanik bekannten Methoden einzuat- 30 
zen oder die Oberflache des Speicherchips oder Mikro- 
prozessors mit einem UV-hartbaren Lack zu uberziehen 
und anschfiessend das Beugungsgitter einzuformen. 

Das Schreib-/Lesegerat 19 ist Teil eines Gerates 
das z.B. eine Offentiiche Telefbnstation, ein Verkaufs- 35 7. 
oder Dienstleistungsautomat oder ein Gerat zum Prufen 
eines als Ausweis dienenden Datentragers 1 ist. 

Patentanspruche 

40 

1. Datentrager (1) mit einer elektronischen Schaltung 
(2) zur Speicherung und Verarbeitung von Daten 
sowie zur Kommunikation mit einem Schreib-/Lese- 
gerat (19), und mit maschinenlesbaren beugungs- 
optischen Markierungen (5) zum Nachweis der 45 
Echtheit des Datentragers (1), dadurch gekenn- 
zeichnet, dass die Markierungen (5) eine digitate 
Signatur darsteflen und dass in der Schaltung (2) 

Daten D gespeichert sind, die mit der Signatur ver- 8. 
knupft sind. so 

2. Datentrager (1) nach Anspruch 1 , dadurch gekenn- 
zeichnet, dass die beugungsoptischen Markierun- 
gen (5) mikroskopisch feine Reliefstrukturen (15) mit 
einer asymmetrischen Profilform sind. 55 

9. 

3. Datentrager (1) nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass die Daten D eine allein aus 
der Signatur oder aus der Signatur und weiteren im 
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Datentrager (1) gespeicherten Daten gemass einer 
vorbestimmten Funktion berechnete PrGfzahl sind 
und dass die elektronische Schaltung (2) Daten erst 
nach Durchfuhrung eines Authentizitatstestes mit 
positivem Ergebnis an das Schreib-/Lesegerat (19) 
Obermrttelt. 

Datentrager (1) nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass die Signatur einen krypto- 
graf ischen Schlussel zur Verschlusselung oder Ent- 
schlusselung der mit dem Schreib-/Lesegerat (19) 
auszutauschenden bzw. vom Schreib-/Lesegerat 
(19) erhaitenen Daten darstellt, dass die Daten D 
einen der Signatur komplementaren kryptografi- 
schen Schlussel darstellen und dass der Datenaus- 
tausch zwischen der elektronischen Schaltung (2) 
des Datentragers (1) und dem Schreib-/Lesegerat 
(19) verschlusselt erfolgt 

Datentrager (1) nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, dass in der Schaltung 
(2) ein SolI-PIN-Code gespeichert ist, und dass die 
Schaltung (2) nur dann Daten an das Schreib-/Lese- 
gerat (19) ubermittelt, wenn ein von einem Benutzer 
in das Schreib-/Lesegerat (19) eingegebener und 
mittels der Signatur verschlusselt ubertragener PIN- 
Code mit dem Soll-PIN-Code ubereinstimmt. 

Datentrager (1) nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, dass ein Pruffeld (6) 
zum Nachweis der Benutzung des Datentragers (1) 
vorhanden ist und dass das PrQffeld (6) irreversibel 
veranderbar ist. 

SchreibVLesegerat (19) fur einen Datentrager (1) 
nach einem der Anspruche 1 bis 5 dadurch 
gekennzeichnet, dass ein optischer Lesekopf (20) 
mit einer Lichtquelie (21) und Photodetektoren (22) 
zum Lesen der Markierungen (5) des Datentragers 
(1) und eine Steuer- und Auswerteeinrichtung (23) 
vorhanden sind und dass die Steuer- und Auswer- 
teeinrichtung (23) die von den Photodetektoren (22) 
beim Lesen der Markierungen (5) abgegebenen 
Signale dahingehend pruft. ob sie bestimmten Kri- 
terien genugen und ob eine vorbestimmte Zahl von 
Markierungen (5) auf dem Datentrager (1) vorhan- 
den ist. 

Schreib-/Lesegerat (19) nach Anspruch 6, dadurch 
gekennzeichnet, dass das Schreib-/Lesegerat 
(19) einen von einem Benutzer eingegebenen PIN- 
Code mit der Signatur S gemass einer vorbestimm- 
ten Funktion verknupft oder mittels der Signatur S 
verschlusselt und an den Datentrager (1) ubertragt. 

Schreib-ZLesegerat (1 9) nach Anspruch 7 oder 8 fur 
einen Datentrager (1) nach Anspruch 6, dadurch 
gekennzeichnet, dass ein Mittel (21) zum Veran- 
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dern des PrOffeldes (6) des Datentragers (1) vorhan- 
deh ist. 

10. Einrichtung, die eine Datenverwaltungseinrichtung 
(29) und wenigstens ein Terminal (30) mit einem 5 
Schreib-/Lesegerat (19) zur Kommunikation mit 
einem Datentrager (1) nach einem der Anspruche 1 
bis 4 urrrfasst, woba die Datenverwaltungseinrich- 
tung (29) und das Terminal (30) durch ein Kbmmu- 
nikationsnetzwerk (31) verbunden sind, dadurch 10 
gekennzeichnet, dass das Schreib-ZLesegerat 
(19) mit einem optischen Lesekopf (21) zum Ausle- 
sen der Signatur des Datentragers (1) eingerichtet 
ist und dass bei der Benutzung des Datentragers (1 ) 
die Ubermittlung der gelesenen Signatur an die is 
Datenverwaltungseinrichtung (29) vorgesehen ist. 
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